Поєднання людського управління та механізму, друга стадія L2 має більшу захист від зламу.
Автор: Віталік Бутерін
Переклад: Wenser, Odaily Зірковий щоденник
Примітка редактора: Протягом тривалого часу дискусія про три фази безпеки зведення Ethereum була в центрі уваги екологічної спільноти Ethereum, яка пов'язана не тільки з операційною стабільністю основної мережі Ethereum і мережі L2, але і пов'язана з реальним розвитком мережі L2. Нещодавно Деніел Ванг, член спільноти Ethereum, запропонував #BattleTested найменування для фази 2 етапу мережі L2 на платформі X, стверджуючи, що лише мережі L2 з поточним кодом і конфігурацією, які були онлайн в основній мережі Ethereum більше 6 місяців і зберегли загальну вартість блокування (TVL) понад 100 мільйонів доларів і не менше 50 мільйонів доларів у ETH та основних стабільних монетах, можуть отримати це звання, і назва динамічно оцінюється, щоб уникнути «привидів у мережі». 」。 Співзасновник Ethereum Віталік тоді дав розгорнуту відповідь на це питання і поділився своїми поглядами, складеними Odaily Planet Daily нижче.
3 основні етапи L2 мережі: від 0 до 1, а потім до 2, безпека визначається часткою управління
Три етапи безпеки Ethereum rollup можна визначити за тим, коли комісія з безпеки може покрити бездостовірні (тобто чисті криптографічні або ігрові) компоненти:
Етап 0: Рада безпеки має повний контроль. Можливо, існує працююча система доказів (Optimism або ZK режим), але Рада безпеки може скасувати її простим механізмом більшості голосів. Тому система доказів є лише «консультативною».
Етап 1: Комітет з безпеки потребує 75% (принаймні 6/8) схвалення для того, щоб перекрити робочу систему. Має бути кворум, що заважає підмножині (наприклад, ≥ 3) поза основною організацією. Таким чином, контролювати систему доказу складно, але не неможливо.
Етап 2: Комітет з безпеки може діяти лише у випадках, коли є доведені помилки. Наприклад, доведена помилка може полягати в тому, що дві надмірні системи доказів (наприклад, OP та ZK) суперечать одна одній. Якщо є доведена помилка, він може вибрати лише одну з поданих відповідей: він не може довільно реагувати на певний механізм.
Ми можемо використовувати нижченаведену діаграму для відображення «частки голосування», якою володіє комітет з безпеки на різних етапах:
!
Структура голосування в управлінні трьох етапів
Одне важливе питання: коли є оптимальний час для переходу L2 мережі з етапу 0 на етап 1, а також з етапу 1 на етап 2?
Єдиною дійсною причиною, чому не слід негайно переходити до етапу 2, є те, що ви не можете повністю довіряти системі підтвердження — це зрозуміла тривога: ця система складається з великої кількості коду, і якщо в коді є вразливості, зловмисник може вкрасти активи всіх користувачів. Чим сильніше ваша впевненість у системі підтвердження (або, навпаки, чим слабша ваша впевненість у комітеті з безпеки), тим більше ви хочете просунути всю екосистему мережі до наступного етапу.
Насправді, ми можемо кількісно оцінити це за допомогою спрощеної математичної моделі. По-перше, давайте перерахувати припущення:
Кожен член комітету безпеки має 10% ймовірності «окремого збою»;
Ми розглядаємо активні збої (відмова підписати контракт або недоступність ключа) та збої безпеки (підписання неправильних речей або зламаний ключ) як рівно можливі події. Насправді, ми припускаємо лише одну категорію "невдачі", в якій члени Ради безпеки "невдачі" підписали як неправильні речі, так і не змогли підписати правильні речі;
На етапі 0, критерій оцінки безпеки комітету становить 4/7, на етапі 1 — 6/8;
Ми припускаємо, що існує єдина цілісна система доказів (на відміну від механізму проектування 2/3, безпековий комітет може розірвати безвихідь у разі конфлікту думок). Отже, на етапі 2 існування безпекового комітету взагалі не має значення.
В цих припущеннях, враховуючи специфічну ймовірність краху системи доказів, ми прагнемо мінімізувати можливість краху мережі L2.
Ми можемо використати біномальний розподіл, щоб виконати цю роботу:
Якщо ймовірність незалежної відмови для кожного члена Ради безпеки становить 10%, то ймовірність того, що принаймні 4 з 7 зазнають відмови, дорівнює ∑𝑖= 47( 7 𝑖)∗ 0.1 𝑖∗ 0.97 −𝑖= 0.002728. Таким чином, у інтегрованій системі на етапі 0 є фіксована ймовірність відмови 0.2728%.
Інтеграція етапу 1 також може зазнати невдачі, якщо система доказів зазнає невдачі і механізм верифікації безпекового комітету зазнає ≥ 3 невдач, не вдається виконати мережеве обчислення покриття (ймовірність ∑𝑖= 38( 8 𝑖)∗ 0.1 𝑖∗ 0.98 −𝑖= 0.03809179 помножити на ймовірність невдачі системи доказів), або якщо безпековий комітет зазнає 6 або більше невдач, він може примусово згенерувати неправильну відповідь обчислення (фіксована ∑𝑖= 68( 8 𝑖)∗ 0.1 𝑖∗ 0.98 −𝑖= 0.00002341 ймовірність);
Ймовірність невдачі злиття на етапі 2 відповідає ймовірності невдачі системи доказів.
Тут представлено у вигляді графіка:
!
Ймовірність відмови системи доказів на різних етапах мережі L2
Як було передбачено, з підвищенням якості системи доказів оптимальний етап переходить з етапу 0 на етап 1, а потім з етапу 1 на етап 2. Використання системи доказів якості етапу 0 для роботи мережі на етапі 2 є найгіршим результатом.
Зараз, будь ласка, зверніть увагу, що припущення в згаданій спрощеній моделі не є досконалими:
У реальному житті члени комітету з безпеки не є повністю незалежними, (між ними може) існувати «спільний модульний збій»: вони можуть змовитися, або всі можуть піддаватися однаковому примусу чи хакерським атакам тощо. Вимога мати кворум поза основною організацією для запобігання виникненню підмножини має на меті уникнути цього, але все ще не є досконалою.
Система доказів сама по собі може складатися з кількох незалежних систем (я раніше пропонував це в своєму блозі). У цьому випадку (i) ймовірність краху системи доказів є дуже низькою, і (ii) навіть на етапі 2 безпековий комітет є важливим, оскільки він є ключем до вирішення суперечок.
Обидва ці аргументи свідчать про те, що етап 1 і етап 2 є більш привабливими в порівнянні з графіком.
Якщо ви вірите в математику, то існування 1 етапу практично ніколи не буде виправдано: слід відразу переходити до 1 етапу. Основне заперечення, яке я чув, звучить так: якщо станеться критична помилка, може бути складно швидко зібрати підписи 6 із 8 членів комітету з безпеки, щоб її виправити. Але є просте рішення: надати будь-якому члену Комітету безпеки повноваження відкласти виведення коштів на 1-2 тижні, давши іншим достатньо часу для вжиття (виправних) заходів.
Одночасно, однак, передчасний перехід до стадії 2 також є помилковим, особливо якщо робота з переходу до стадії 2 здійснюється за рахунок посилення роботи базової системи доказів. В ідеалі постачальники даних, такі як L2Beat, повинні демонструвати аудит системи доказів та показники зрілості (краще показники реалізації системи доказів, а не загальні показники, щоб ми могли їх повторно використовувати), разом із демонстрацією стадії.
Контент має виключно довідковий характер і не є запрошенням до участі або пропозицією. Інвестиційні, податкові чи юридичні консультації не надаються. Перегляньте Відмову від відповідальності , щоб дізнатися більше про ризики.
Vitalik нова робота: Короткий огляд математичних принципів раціонального розподілу етапів L2
Автор: Віталік Бутерін
Переклад: Wenser, Odaily Зірковий щоденник
Примітка редактора: Протягом тривалого часу дискусія про три фази безпеки зведення Ethereum була в центрі уваги екологічної спільноти Ethereum, яка пов'язана не тільки з операційною стабільністю основної мережі Ethereum і мережі L2, але і пов'язана з реальним розвитком мережі L2. Нещодавно Деніел Ванг, член спільноти Ethereum, запропонував #BattleTested найменування для фази 2 етапу мережі L2 на платформі X, стверджуючи, що лише мережі L2 з поточним кодом і конфігурацією, які були онлайн в основній мережі Ethereum більше 6 місяців і зберегли загальну вартість блокування (TVL) понад 100 мільйонів доларів і не менше 50 мільйонів доларів у ETH та основних стабільних монетах, можуть отримати це звання, і назва динамічно оцінюється, щоб уникнути «привидів у мережі». 」。 Співзасновник Ethereum Віталік тоді дав розгорнуту відповідь на це питання і поділився своїми поглядами, складеними Odaily Planet Daily нижче.
3 основні етапи L2 мережі: від 0 до 1, а потім до 2, безпека визначається часткою управління
Три етапи безпеки Ethereum rollup можна визначити за тим, коли комісія з безпеки може покрити бездостовірні (тобто чисті криптографічні або ігрові) компоненти:
Ми можемо використовувати нижченаведену діаграму для відображення «частки голосування», якою володіє комітет з безпеки на різних етапах:
!
Структура голосування в управлінні трьох етапів
Одне важливе питання: коли є оптимальний час для переходу L2 мережі з етапу 0 на етап 1, а також з етапу 1 на етап 2?
Єдиною дійсною причиною, чому не слід негайно переходити до етапу 2, є те, що ви не можете повністю довіряти системі підтвердження — це зрозуміла тривога: ця система складається з великої кількості коду, і якщо в коді є вразливості, зловмисник може вкрасти активи всіх користувачів. Чим сильніше ваша впевненість у системі підтвердження (або, навпаки, чим слабша ваша впевненість у комітеті з безпеки), тим більше ви хочете просунути всю екосистему мережі до наступного етапу.
Насправді, ми можемо кількісно оцінити це за допомогою спрощеної математичної моделі. По-перше, давайте перерахувати припущення:
В цих припущеннях, враховуючи специфічну ймовірність краху системи доказів, ми прагнемо мінімізувати можливість краху мережі L2.
Ми можемо використати біномальний розподіл, щоб виконати цю роботу:
Тут представлено у вигляді графіка:
!
Ймовірність відмови системи доказів на різних етапах мережі L2
Як було передбачено, з підвищенням якості системи доказів оптимальний етап переходить з етапу 0 на етап 1, а потім з етапу 1 на етап 2. Використання системи доказів якості етапу 0 для роботи мережі на етапі 2 є найгіршим результатом.
Зараз, будь ласка, зверніть увагу, що припущення в згаданій спрощеній моделі не є досконалими:
Обидва ці аргументи свідчать про те, що етап 1 і етап 2 є більш привабливими в порівнянні з графіком.
Якщо ви вірите в математику, то існування 1 етапу практично ніколи не буде виправдано: слід відразу переходити до 1 етапу. Основне заперечення, яке я чув, звучить так: якщо станеться критична помилка, може бути складно швидко зібрати підписи 6 із 8 членів комітету з безпеки, щоб її виправити. Але є просте рішення: надати будь-якому члену Комітету безпеки повноваження відкласти виведення коштів на 1-2 тижні, давши іншим достатньо часу для вжиття (виправних) заходів.
Одночасно, однак, передчасний перехід до стадії 2 також є помилковим, особливо якщо робота з переходу до стадії 2 здійснюється за рахунок посилення роботи базової системи доказів. В ідеалі постачальники даних, такі як L2Beat, повинні демонструвати аудит системи доказів та показники зрілості (краще показники реалізації системи доказів, а не загальні показники, щоб ми могли їх повторно використовувати), разом із демонстрацією стадії.